Sdílet prostřednictvím

Nejčastější dotazy

  • Článek

Tento článek odpovídá na nejčastější dotazy k Správa oprávnění Microsoft Entra.

Co je Správa oprávnění Microsoft Entra?

Správa oprávnění Microsoft Entra (Správa oprávnění) je řešení pro správu nároků cloudové infrastruktury (CIEM), které poskytuje komplexní přehled o oprávněních přiřazených všem identitám. Například nadprivilegované úlohy a identity uživatelů, akce a prostředky napříč vícecloudovými infrastrukturami v Microsoft Azure, Amazon Web Services (AWS) a Google Cloud Platform (GCP). Správa oprávnění detekuje, automaticky zmenšuje správné velikosti a nepřetržitě monitoruje nepoužívané a nadměrné oprávnění. Prohlubuje strategii zabezpečení nulová důvěra (Zero Trust) rozšířením principu přístupu s nejnižšími oprávněními.

Jaké jsou požadavky na používání správy oprávnění?

Správa oprávnění podporuje shromažďování dat z AWS, GCP a/nebo Microsoft Azure. Pro shromažďování a analýzu dat musí mít zákazníci účet Microsoft Entra, aby mohli používat správu oprávnění.

Může zákazník použít správu oprávnění, pokud má jiné identity s přístupem ke své platformě IaaS, která ještě není v Microsoft Entra ID?

Ano, zákazník může detekovat, zmírnit a monitorovat riziko účtů AWS IAM nebo GCP nebo od jiných zprostředkovatelů identity, jako jsou Okta nebo AWS IAM.

Kde můžou zákazníci získat přístup ke správě oprávnění?

Zákazníci mají přístup k rozhraní pro správu oprávnění v administračním centru Microsoft Entra.

Můžou zákazníci mimo cloud používat správu oprávnění místně?

Ne, Správa oprávnění je hostovaná cloudová nabídka.

Můžou zákazníci mimo Azure používat správu oprávnění?

Ano, zákazníci mimo Azure můžou naše řešení používat. Správa oprávnění je multicloudové řešení, takže z něj můžou těžit i zákazníci, kteří nemají předplatné Azure.

Je správa oprávnění dostupná pro tenanty hostované v Evropské unii (EU)?

Ano, správa oprávnění je aktuálně určená pro tenanty hostované v Evropské unii (EU).

Pokud už používám Microsoft Entra ID Privileged Identity Management (PIM) pro Azure, jakou hodnotu poskytuje Správa oprávnění?

Správa oprávnění doplňuje Microsoft Entra PIM. Microsoft Entra PIM poskytuje okamžitý přístup pro role správců v Azure a online službách a aplikacích Microsoftu, které používají skupiny. Správa oprávnění umožňuje vícecloudové zjišťování, nápravu a monitorování privilegovaného přístupu v Azure, AWS a GCP.

Jaké infrastruktury veřejného cloudu správa oprávnění podporuje?

Správa oprávnění v současné době podporuje tři hlavní veřejné cloudy: Amazon Web Services (AWS), Google Cloud Platform (GCP) a Microsoft Azure.

Podporuje správa oprávnění hybridní prostředí?

Správa oprávnění v současné době nepodporuje hybridní prostředí.

Jaké typy identit správa oprávnění podporuje?

Správa oprávnění podporuje identity uživatelů (například zaměstnance, zákazníky, externí partnery) a identity úloh (například virtuální počítače, kontejnery, webové aplikace, bezserverové funkce).

Je správa oprávnění dostupná v cloudu pro státní správu?

Ne, Správa oprávnění v současné době není dostupná v cloudech pro státní správu.

Je správa oprávnění dostupná pro vládní cloudy?

Ne, správa oprávnění v současné době není dostupná v suverénních cloudech.

Jak správa oprávnění shromažďuje přehledy o využití oprávnění?

Správa oprávnění má kolekci dat, která shromažďuje přístupová oprávnění přiřazená různým identitám, protokolům aktivit a metadatům prostředků. Kolektor dat poskytuje úplný přehled o oprávněních udělených všem identitám pro přístup k prostředkům a podrobnostem o využití udělených oprávnění.

Jak správa oprávnění vyhodnocuje riziko cloudových oprávnění?

Správa oprávnění nabízí podrobný přehled o všech identitách a jejich oprávněních udělených v porovnání s použitými cloudovými infrastrukturami za účelem odhalení všech akcí prováděných jakoukoli identitou na jakémkoli prostředku. Viditelnost není omezená jenom na identity uživatelů, ale také identity úloh, jako jsou virtuální počítače, přístupové klíče, kontejnery a skripty. Řídicí panel poskytuje přehled profilu oprávnění k vyhledání nejrizivějších identit a prostředků.

Co je Permissions Creep Index?

Index rozšiřování oprávnění (PCI) je kvantitativní měřítko rizika, která se vztahuje k identitě nebo roli, určená porovnáním udělených a uplatněných oprávnění. Umožňuje uživatelům okamžitě vyhodnotit úroveň rizika související s počtem nepoužívaných nebo nadměrně zřízených oprávnění napříč identitami a prostředky. Měří, jaké škody mohou identity způsobit na základě oprávnění, která mají.

Jak můžou zákazníci používat správu oprávnění k odstranění nepoužívaných nebo nadměrných oprávnění?

Správa oprávnění umožňuje uživatelům nastavit správnou velikost nadměrných oprávnění a pomocí několika kliknutí automatizovat vynucení zásad nejnižších oprávnění. Řešení nepřetržitě analyzuje historická data o využití oprávnění pro každou identitu a poskytuje zákazníkům možnost správné velikosti oprávnění k oprávněním, která se používají jenom pro každodenní operace. Všechna nepoužitá a další riziková oprávnění je možné automaticky odebrat.

Proč je uživatel, který jsem odstranil, stále viditelný na kartě Analýza?

Zkontrolujte, jestli byl uživateli přiřazena role klasického správce . Klasické role správce se při odstranění uživatele neodejdou. Pokud chcete tento problém vyřešit, přejděte na stránku klasického správce a odstraňte přiřazení této role pro uživatele samostatně.

Jak můžou zákazníci udělit oprávnění na vyžádání pomocí správy oprávnění?

V případě urgentních nebo jednorázových scénářů, kdy identita potřebuje vykonat specifickou sadu akcí na vybraných prostředcích, může tato identita požádat o daná oprávnění na určitou omezenou dobu prostřednictvím samoobslužného pracovního postupu. Zákazníci můžou buď použít integrovaný modul pracovních postupů, nebo nástroj pro správu IT služeb (ITSM). Uživatelské prostředí je stejné pro jakýkoli typ identity, zdroj identity (místní, podnikový adresář nebo federovaný) a cloud.

Jaký je rozdíl mezi oprávněními na vyžádání a průběžným přístupem?

Přístup za běhu (JIT) je metoda, která se používá k vynucení principu nejnižšího oprávnění, aby se zajistilo, že identitám je udělena minimální úroveň oprávnění k provedení úkolu. Oprávnění na vyžádání jsou typem přístupu JIT, který umožňuje dočasné zvýšení oprávnění, čímž umožňuje uživatelům přistupovat k prostředkům na základě požadavku na omezenou dobu.

Jak můžou zákazníci monitorovat využití oprávnění pomocí správy oprávnění?

Zákazníci pouze potřebují sledovat vývoj Permission Creep Indexu (PCI), aby mohli monitorovat využití oprávnění. Zákazníci můžou monitorovat PCI na kartě Analýza na řídicím panelu Správa oprávnění.

Mohou zákazníci generovat zprávy o využití oprávnění?

Ano, Správa oprávnění má k dispozici různé typy systémových zpráv, které zachycují konkrétní datové sady. Tyto zprávy umožňují zákazníkům:

  • Proveďte včasná rozhodnutí.
  • Analýza trendů využití a výkonu systému a uživatelů
  • Identifikujte oblasti s vysokým rizikem.

Informace o sestavách využití oprávnění naleznete v části Vytvoření a stažení sestavy analýzy oprávnění.

Integruje se správa oprávnění s nástroji ITSM (Správa informačních technologií) třetích stran?

Integrace s nástroji ITSM, jako je ServiceNow, je v budoucnu v plánu.

Jak se nasazuje správa oprávnění?

Zákazníci, kteří mají přiřazenou roli Správce správy oprávnění, musí nejprve připojit správu oprávnění ke svému tenantovi Microsoft Entra a pak připojit své účty AWS, projekty GCP a předplatná Azure. Další podrobnosti o onboardingu najdete v naší produktové dokumentaci.

Jak dlouho trvá nasazení správy oprávnění?

Záleží na každém zákazníkovi a na tom, kolik účtů AWS, projektů GCP a předplatných Azure má.

Jak rychle můžu získat přehledy oprávnění po nasazení správy oprávnění?

Po úplném nasazení s nastavením shromažďování dat můžou zákazníci získat přístup k přehledům využití oprávnění během několika hodin. Náš nástroj strojového učení aktualizuje Index plíživého nárůstu oprávnění každou hodinu, aby zákazníci mohli okamžitě zahájit posouzení rizik.

Shromažďuje a ukládá správa oprávnění citlivé osobní údaje?

Ne, Správa oprávnění nemá přístup k citlivým osobním údajům.

Kde najdu další informace o správě oprávnění?

Můžete si přečíst náš blog a navštívit naši webovou stránku. Můžete se také spojit s kontaktním bodem Microsoftu a naplánovat si ukázku.

Co je proces zničení nebo vyřazení dat z provozu?

Pokud zákazník zahájí bezplatnou zkušební verzi Správy oprávnění 45 dnů a nepřevedí na placenou licenci do 45 dnů od vypršení platnosti zkušební verze, odstraní se všechna shromážděná data do 30 dnů od data vypršení platnosti zkušební verze.

Pokud se zákazník rozhodne ukončit licencování služby, odstraní se všechna dříve shromážděná data do 30 dnů od ukončení licence.

Zákazníci mohou také odebrat, exportovat nebo upravit konkrétní data, pokud správce správy oprávnění používající službu Správa oprávnění podá oficiální žádost subjektu údajů. Podání žádosti:

Pokud jste podnikový zákazník, můžete se obrátit na svého zástupce Microsoftu, tým účtů nebo správce tenanta, aby podali žádost o zpracování žádosti subjektu údajů s vysokou prioritou jako lístek podpory IcM. Do žádosti ICM nezahrnujte podrobnosti ani žádné identifikovatelné osobní údaje. S těmito podrobnostmi vás budeme kontaktovat až po podání IcM.

Pokud jste samoobslužný zákazník (nastavili jste zkušební nebo placenou licenci v Centrum pro správu Microsoftu 365), můžete kontaktovat tým ochrany osobních údajů pro správu oprávnění výběrem rozevírací nabídky profilu a následným nastavením účtu ve správě oprávnění. Podle pokynů proveďte žádost subjektu údajů.

Přečtěte si další informace o žádostech subjektů údajů Azure.

Potřebuji licenci k použití Microsoft Entra Správa oprávnění?

Ano, od 1. července 2022 musí noví zákazníci získat bezplatnou 45denní zkušební licenci nebo placenou licenci, aby mohli službu používat. Zkušební verzi můžete povolit tady: https://aka.ms/TryPermissionsManagement nebo můžete licence založené na prostředcích zakoupit přímo tady: https://aka.ms/BuyPermissionsManagement

Jak je správa oprávnění cenová?

Správa oprávnění stojí 125 USD za prostředek za rok (10,40 USD za prostředek za měsíc). Správa oprávnění vyžaduje licence pro úlohy, které zahrnují jakýkoli prostředek, který používá výpočetní prostředky nebo paměť.

Musím platit za všechny prostředky?

I když správa oprávnění podporuje všechny prostředky, Microsoft vyžaduje jenom licence na fakturovatelné prostředky v cloudovém prostředí. Další informace o fakturovatelných prostředcích najdete v tématu Zobrazení fakturovatelných prostředků uvedených v autorizačním systému.

Jak mám vypočítat počet fakturovatelných zdrojů, které mám?

Pokud chcete vypočítat fakturovatelné prostředky, které máte v infrastruktuře s více cloudy, musíte nejprve aktivovat 45denní bezplatnou zkušební verzi služby Permissions Management nebo zakoupit placenou licenci. Ve správě oprávnění vyberte Nastavení (ikona ozubeného kola) a potom klikněte na kartu Fakturovatelné prostředky . Zobrazte množství fakturovatelných prostředků ve sloupci Celkový počet licencí .

Co mám dělat, když používám starší verzi služby CloudKnox?

V současné době pracujeme na vývoji plánu migrace, který zákazníkům v původní službě CloudKnox pomůže přejít na novou službu Správa oprávnění Microsoft Entra později v roce 2022.

Mohu používat Microsoft Entra Permissions Management v EU?

Ano, produkt je kompatibilní.

Jak povolit jeden z nových 18 jazyků podporovaných ve verzi GA?

Nyní jsme lokalizováni ve 18 jazycích. Respektujeme nastavení vašeho prohlížeče, nebo můžete ručně povolit jazyk dle vašeho výběru přidáním parametru dotazu k adrese URL Microsoft Entra Permissions Management.

?lang=xx-XX

Kde xx-XX je jedním z následujících dostupných parametrů jazyka: 'cs-CZ', 'de-DE', 'en-US', 'es-ES', 'fr-FR', 'hu-HU', 'id-ID', 'it-IT', 'ja-JP', 'ko-KR', 'nl-NL', 'pl-PL', 'pt-BR', 'pt-PT', 'ru-RU', 'sv-SE', 'tr-TR', 'zh-CN' nebo 'zh-TW'.

Zdroje informací

Další kroky